Proses
Audit dalam Lingkungan Teknologi Informasi
Perlunya
verifikasi audit teknologi informasi (TI) digunakan untuk meninjau operasi
fasilitas TI atau memeriksa pegembangan aplikasi atau sistem, maka dari itu
kontrol dalam bidang ini perlu dilakukan. Selain itu, Fungsi auditor IT
melengkapi fungsi auditor internal dengan memberikan jaminan yang masuk akal
bahwa aset dilindungi, informasi tepat waktu dan dapat diandalkan, dan semua
kesalahan dan kekurangan ditemukan dan diperbaiki dengan segera. Tujuan yang
sama pentingnya dari fungsi ini adalah kontrol yang lebih baik, jejak audit
yang lengkap, dan kepatuhan yang ketat terhadap kebijakan organisasi.
Pada
bab ini akan membahas proses audit TI untuk audit computer dan tutunan yang
akan ditempatkan pada profesi di masa mendatang. Auditor komputer harus bersiap
untuk dan pindah ke dunia yang benar-benar tergantung pada IS komputer yang
besar dan sangat terintegrasi. Sistem ini dapat dicirikan dengan penggunaan
teknologi yang muncul, seperti pemrosesan terdistribusi, jaringan area lokal,
klien / server (C / S), Internet / intranet, teknologi mikro, firmware,
transmisi satelit, dan lainnya.
Sebelumnya tahukah kalian
apa itu audit TI?
Audit
teknologi informasi adalah evaluasi sistem informasi, praktik, dan operasi
untuk memastikan integritas informasi entitas. Evaluasi tersebut dapat mencakup
penilaian efisiensi, efektivitas, dan ekonomi berbasis computer. Pada audit TI
ini dalam pratiknya melibatkan penggunaan computer sebagai alat audit. Evaluasi yang dilakukan juga harus menentukan
kecukupan kontrol internal dalam lingkungan teknologi informasi untuk
memastikan layanan informasi yang valid, andal dan aman.
Evaluasi sistem, praktik,
dan operasi auditor komputer dapat mencakup satu atau kedua hal berikut:
• Penilaian kontrol
internal dalam lingkungan TI untuk memastikan validitas, keandalan, dan
keamanan informasi.
• Penilaian efisiensi dan
efektivitas lingkungan TI dalam hal ekonomi.
Contoh untuk
menggambarkan bahwa peran auditor, akuntan, dan auditor internal akan bertemu
pada komputer auditor besok adalah perubahan yang dibuat oleh manajer senior.
Wakil presiden senior dan direktur audit internal untuk sebuah bank
internasional besar menyatakan bahwa 80 persen staf auditnya adalah spesialis
audit komputer terintegrasi (keuangan, operasional, dan TI), dan pada 2005,
semua dari 500 staf di dalam departemen diharapkan memiliki kompetensi audit
komputer.
Proses
Audit
Metode
waktu-dihormati menggunakan buku besar sebagai titik awal untuk audit tidak
selalu bekerja dalam pemeriksaan sistem komputer modern. Namun, auditor atau
manajer keuangan yang berpengalaman mengakui nilai memiliki pendekatan yang
konsisten, logis, audit atau manajemen yang mengakomodasi metode manual dan
terkomputerisasi. Meskipun mengaudit sistem komputer memerlukan perubahan dari
pendekatan buku besar tradisional, setiap pendekatan audit baru harus berlaku
secara universal.
Pendekatan
universal yang berlaku sama untuk sistem manual dan terkomputerisasi
diformalkan untuk profesi akuntansi dalam Pernyataan Standar Audit (SAS 1).
Standar ini memiliki efek mandat pendekatan yang seragam, berorientasi pada
proses untuk perikatan audit. Pendekatan yang digambarkan adalah teknik proses
yang benar. Artinya, perikatan audit mengikuti serangkaian langkah logis dan
teratur, masing-masing dirancang untuk mencapai hasil akhir yang ditentukan.
Dalam implementasi, upaya awal di pusat pemeriksaan audit adalah pada mendapatkan
pemahaman dasar tentang sistem akuntansi. Proses terus meningkat secara
mendalam dalam studi dan pemeriksaan aplikasi yang mengembangkan data
signifikan secara finansial untuk dimasukkan dalam laporan keuangan.
Situasi dan Masalah -
dari EFCA ke Enron
ü Komputer
telah digunakan secara komersial sejak tahun 1952. Kejahatan yang terkait
dengan komputer dilaporkan pada awal tahun 1966. Namun, baru pada tahun 1973,
ketika masalah signifikan di Equity Funding Corporation of America (EFCA)
muncul, bahwa profesi audit memandang serius kurangnya kontrol dalam komputer
IS.
ü Pada tahun
2002, hampir 30 tahun kemudian, penipuan besar lainnya terungkap, yang membawa
keraguan dan kejatuhan ke pasar keuangan.
ü Ketika EFCA
menyatakan bangkrut pada tahun 1973, dampak langsung minimum dan kerugian dari
aktivitas ilegal dilaporkan sebanyak $ 200 juta.
ü Pada tahun
1973, American Institute of Certified Public Accountants (AICPA), dalam
menanggapi peristiwa di EFCA, menunjuk komite khusus untuk mempelajari apakah
standar audit pada hari itu memadai dalam situasi seperti itu.
ü Kemudian, 29
tahun kemudian, kegagalan Enron-Arthur Andersen tahun 2002 membawa kami kembali
ke tahun 1973.
ü Masalah “due professional care” telah menjadi yang terdepan
dalam komunitas audit pada awal dekade ini sebagai hasil dari skandal keuangan
Enron, Global Crossing, dan lainnya.
ü Skandal EFCA tahun 1973 menyebabkan pengembangan regulasi
negara bagian dan federal yang kuat dari industri asuransi dan akuntansi
kreatif perusahaan di industri dirgantara yang memberikan dukungan untuk
Foreign Corrupt Practices Act (FCPA) tahun 1977.
ü Sekarang, mungkin Sarbanes – Oxley Act tahun 2002 akan
menjadi pengingat yang jelas akan pentingnya perawatan profesional yang wajar.
Tindakan ini adalah paket reformasi utama, yang mengamanatkan perubahan paling
luas yang telah diberlakukan Kongres pada dunia bisnis sejak FCPA tahun 1977
dan Undang-Undang Komisi Sekuritas dan Pertukaran (SEC) tahun 1934.
ü Sebelum akhir tahun 2002, ada beberapa penipuan publik yang
memusatkan perhatian publik pada semua aspek pelaporan keuangan.
Standar Audit
Komite
IACPA, yang ditugasi dengan tanggung jawab meninjau standar audit sebagai
akibat dari keruntuhan EFCA, menyatakan bahwa "standar audit yang diterima
secara umum memadai dan tidak ada perubahan yang diperlukan dalam prosedur yang
biasa digunakan oleh auditor."
Namun,
Sarbanes – Oxley Act akan memiliki efek dramatis pada akuntansi publik. Bagian
404 - Penilaian Manajemen atas Pengendalian Internal Undang-Undang menyatakan
bahwa perusahaan yang terpengaruh akan diminta untuk:
•
Nyatakan tanggung jawab manajemen untuk menetapkan dan memelihara struktur dan
prosedur kontrol internal yang memadai untuk pelaporan keuangan.
• Menyiapkan penilaian pada akhir tahun
fiskal penerbit tentang efektivitas struktur pengendalian internal dan prosedur
penerbit untuk pelaporan keuangan.
Persyaratan ini akan berdampak besar pada audiens
internal dan TI, karena mereka kemungkinan besar harus menyelesaikan pekerjaan
ini serta mengevaluasi, menilai, dan melaporkan kontrol internal untuk laporan
manajemen yang diperlukan oleh Sarbanes-Oxley.
Ø Persamaan
:
Setiap
kali proses audit mengalami gangguan, standar audit baru diperlukan untuk
memeriksa laporan keuangan berdasarkan catatan yang dihasilkan komputer. Secara
umum, standar kerja lapangan adalah sama dengan yang diterapkan pada catatan
yang dihasilkan secara manual. Juga, elemen dasar dari kontrol internal yang
memadai tetap sama. Tujuan utama studi dan evaluasi pengendalian internal masih
untuk memberikan bukti untuk pendapat dan untuk menentukan dasar untuk ruang
lingkup, waktu, dan luasnya tes audit masa depan.
Ø Perbedaan
:
Dengan
sistem pelaporan keuangan berbasis komputer, prosedur audit baru harus terus
dikembangkan dan ditingkatkan. Perhitungan yang dilakukan, penambahan atau penghapusan
catatan atau bidang dalam catatan, dan jaminan bahwa transaksi yang disahkan
harus dilakukan melalui komputer bersamaan dengan aliran transaksi. Seperti
yang dapat dialami, ada perbedaan signifikan dalam teknik mempertahankan
kontrol internal yang memadai dalam proses berbasis komputer. Juga, ada
beberapa variasi dalam cara di mana studi dan evaluasi pengendalian internal
dibuat. Perbedaan utama adalah bahwa orang-orang telah dikeluarkan dari
beberapa fase kontrol akuntansi internal dan ketergantungan yang diberikan
kepada proses dan prosedur validasi yang dibuat oleh komputer.
Pentingnya
Independensi Audit ?
Independensi
audit adalah komponen yang sangat penting jika sebuah bisnis ingin memiliki
fungsi audit; itu dapat menambah nilai bagi organisasi. Laporan dan opini audit
harus bebas dari bias atau pengaruh apa pun jika integritas proses audit
dinilai dan diakui atas kontribusinya terhadap sasaran dan sasaran organisasi. Maka
dari itu pentingnya independensi audit.
Salah satu
cara mengevaluasi fungsi audit internal organisasi adalah dengan mengukurnya
terhadap standar audit yang dikeluarkan oleh GAO. "Buku Kuning" atau
Standar Audit Pemerintah yang dikeluarkan GAO adalah standar audit yang harus
diikuti dalam audit organisasi federal, program, kegiatan, dan dana yang
diterima oleh kontraktor, organisasi nirlaba, dan organisasi eksternal lainnya
(seperti perusahaan dengan kontrak federal). Selain itu, baru-baru ini merilis
suplemen yang memberikan panduan auditor dalam penggunaan informasi yang
dihasilkan komputer dalam laporan. Laporan, publikasi GAO, dan referensi di
bidang ini diidentifikasi dalam Lampiran II dan Lampiran III.
Standar-standar
ini berkaitan dengan ruang lingkup dan kualitas upaya audit dan karakteristik
laporan audit yang profesional dan bermakna. Tiga elemen audit diperluas yang
tercakup dalam standar adalah keuangan dan kepatuhan, ekonomi dan efisiensi,
dan hasil program. Juga, undang-undang federal mensyaratkan bahwa inspektur
jenderal di lembaga federal mengikuti standar ini.
Audit
Keuangan
Audit
keuangan mencakup semua kegiatan dan tanggung jawab yang berkaitan dengan
pemberian pendapat tentang kewajaran pernyataan keuangan. Aturan dasar yang
mengatur opini audit menunjukkan dengan jelas bahwa ruang lingkup audit
mencakup semua peralatan dan prosedur yang digunakan dalam memproses data yang
signifikan.
Audit
keuangan, seperti yang dilakukan hari ini oleh auditor independen, didorong
oleh undang-undang pada tahun 1933 dan 1934 yang menciptakan SEC. Undang-undang
ini mengamanatkan bahwa perusahaan yang efeknya dijual secara publik diaudit
setiap tahun oleh CPA. CPA, kemudian, dituduh membuktikan kewajaran laporan
keuangan yang dikeluarkan oleh perusahaan yang dilaporkan kepada SEC. AICPA
mengeluarkan pada tahun 1993 sebuah dokumen yang disebut "Pelaporan
Struktur Pengendalian Internal Entitas atas Pelaporan Keuangan (Pernyataan
tentang Standar untuk Keterlibatan Pengesahan 2)" untuk lebih menentukan
pentingnya pengendalian internal dalam pengikatan pengesahan.
Dalam
profesi CPA, dua kelompok standar telah dikembangkan yang mempengaruhi penyusunan
laporan keuangan oleh perusahaan publik dan prosedur untuk pemeriksaan audit
mereka oleh perusahaan CPA: prinsip akuntansi yang diterima secara umum (GAAP)
dan standar audit yang diterima secara umum (GAAS) ).
Prinsip Akuntansi
yang Diterima Secara Umum (GAAP)
GAAP menetapkan pedoman yang
konsisten untuk pelaporan keuangan oleh manajer perusahaan. Penerapan GAAP
adalah tanggung Jawab manajemen entitas pelapor.
Standar
Audit Diterima Secara Umum (GAAS)
Organisasi profesional nasional
utama CPA adalah AICPA. Pada tahun 1949, AICPA mengadopsi standar untuk audit,
yang dikenal sebagai GAAS. Standar ini mencakup tiga kategori:
1. Standar Umum
Standar umum
berkaitan dengan kompetensi profesional dan teknis, kemandirian, dan karena
perawatan profesional.
2. Standar
Kerja Lapangan
Standar
kerja lapangan mencakup perencanaan, evaluasi pengendalian internal, kecukupan
bahan bukti, atau bukti dokumenter yang menjadi dasar temuan.
3. Standar
Pelaporan
Standar
pelaporan menetapkan kepatuhan dengan semua standar audit yang diterima,
konsistensi dengan periode akun sebelumnya, kecukupan pengungkapan, dan, dalam
hal opini tidak dapat dicapai, persyaratan untuk menyatakan pernyataan secara
eksplisit.
Pengumpulan
Data Umum
Auditor
memulai proses pemeriksaan dengan berkenalan, secara umum, dengan perusahaan,
lini bisnisnya, dan sistem keuangannya. Biasanya, auditor eksternal akan
berkeliling pabrik perusahaan klien dan mengamati operasi bisnis umum yang
memberikan layanan pelanggan serta pada fungsi keuangan yang ketat. Auditor
juga akan mengumpulkan sejumlah item spesifik lainnya dari materi pembuktian,
termasuk:
•
Keseluruhan narasi atau diagram alur ikhtisar aplikasi subsistem utama dan
keterkaitannya, termasuk input dan output
•
Deskripsi tentang pembuatan dan model unit peralatan di instalasi komputer
klien
•
Bahasa pemrograman, standar pemrosesan data, dan manual prosedur yang digunakan
dalam sistem komputer
•
Prosedur kontrol data
•
Jaminan bahwa ada catu daya yang tidak terputus atau ada sumber daya alternatif
•
Prosedur dan ketentuan untuk pencadangan, pemulihan, dan memulai kembali
operasi jika terjadi kegagalan peralatan atau kerusakan data secara tidak
sengaja
•
Prosedur pustaka pernyataan data dan sumber
•
Prosedur untuk pengaturan pekerjaan dan operasi di dalam pusat data
•
Manual standar dokumentasi instalasi atau standar dokumentasi seperti yang ada
•
Deskripsi transaksi kontrol keamanan fisik
Metode
yang digunakan dalam mengumpulkan data ini adalah wawancara dan tinjauan
dokumentasi. Teknik inspeksi fisik digunakan baik untuk mengumpulkan data
maupun untuk memvalidasi dokumen yang ada atau representasi yang dibuat selama
wawancara. Misalnya, satu kunjungan ke pusat komputer dapat memberikan peluang
pengumpulan dan validasi data untuk menentukan konfigurasi peralatan, prosedur
perpustakaan, prosedur operasi, kontrol keamanan fisik, dan prosedur kontrol
data.
Mengidentifikasi
Area Aplikasi Keuangan
Setelah auditor
memperoleh pengetahuan umum tentang prosedur akuntansi klien, bidang-bidang
tertentu dari kepentingan audit harus diidentifikasi. Auditor harus memutuskan
aplikasi atau subsistem apa yang harus diperiksa pada tingkat yang lebih rinci.
Sebagai dasar untuk persiapan rencana audit, auditor juga harus menentukan,
secara umum, berapa banyak waktu yang dibutuhkan; tipe orang dan keterampilan
apa yang akan dibutuhkan untuk melakukan pemeriksaan; dan, kira-kira, apa
jadwalnya nanti.
Mempersiapkan
Rencana Audit
Kegiatan penutup dalam
fase peninjauan awal perikatan audit akan menjadi persiapan rencana audit.
Salah satu bentuk yang sering digunakan adalah rencana audit deskriptif yang
mencakup tabel dan jadwal yang sesuai. Bagian khas untuk rencana audit mungkin
meliputi:
• Deskripsi organisasi
klien
• Deskripsi sistem dan
prosedur akuntansi
• Staf keterlibatan
• Ruang lingkup audit
• Masalah akuntansi dan
audit
• Ruang lingkup dan
masalah pajak
•Jadwal kerja
Memahami
Bagaimana Komputer Memroses Data
Auditor harus membangun
pemahaman tentang bagaimana sistem yang diteliti menghasilkan data. Pemahaman
ini harus mencakup seluruh ruang lingkup sistem dari persiapan dokumen sumber
sampai untuk distribusi akhir dan penggunaan output. Saat mempelajari bagaimana
sistem bekerja, auditor harus mengidentifikasi area potensial untuk pengujian,
menggunakan teknik audit yang sudah dikenal seperti:
• Meninjau dokumentasi
perusahaan termasuk file dokumentasi sistem, instruksi persiapan input, dan
manual pengguna
• Mewawancarai personel
organisasi termasuk pengguna, analis sistem, dan pemrogram
• Memeriksa,
membandingkan, dan menganalisis catatan perusahaan
Mengidentifikasi
Dokumen dan Alurnya melalui Sistem
Untuk memahami aliran
dokumen, informasi latar belakang tertentu harus diperoleh melalui diskusi
dengan pejabat perusahaan, dari sebelumnya audit atau evaluasi, atau dari file
dokumentasi sistem. Karena informasi ini mungkin tidak terkini atau lengkap,
maka harus diverifikasi dengan programmer atau analis yang bertanggung jawab.
Auditor harus mendapatkan:
• Nama (judul) produk
komputer
• Tujuan produk
• Nama sistem dan nomor
identifikasi
• Tanggal sistem
diimplementasikan
• Jenis komputer yang
digunakan (model pabrikan) dan lokasi
• Frekuensi pemrosesan
dan jenis pemrosesan (batch, on-line)
• Orang yang bertanggung
jawab atas aplikasi komputer dan basis data yang menghasilkan produk komputer
Mendefinisikan
Data Kritis
Auditor harus membangun
pemahaman yang jelas tentang data yang direkam dalam sistem yang diteliti. Oleh
karena itu, elemen individual dari data harus didefinisikan. Judul bisa menipu.
Misalnya, apakah biaya berasal dari periode berjalan atau kumulatif? Apakah
biaya timbul atau terjadi? Apa saja komponen biaya? Apakah komposisi biaya
berubah selama periode fiskal yang ditinjau?
Kamus elemen data
organisasi adalah sumber yang baik untuk definisi tersebut. Jika kamus data
tidak tersedia, tata letak catatan mungkin berisi definisi yang diperlukan.
Dalam banyak kasus, tidak ada hubungan satu-ke-satu antara elemen data dan data
dalam laporan atau file yang diproses komputer.
Mengembangkan
Diagram Alir Data Audit
Input dari mana diagram
aliran data disiapkan harus mencakup salinan berikut ini:
• Deskripsi naratif dari
semua program aplikasi utama
• Semua dokumen sumber
yang disiapkan secara manual yang memengaruhi proses aplikasi, serta lembar
kode dan instruksi yang sesuai untuk transkripsi data
• Rekam tata letak untuk
semua input komputer utama dan catatan output, file master komputer, dan file
kerja (seperti pembaruan atau kaset perawatan file, kaset perhitungan, dll.)
• Semua output utama yang
dihasilkan oleh sistem otomatis
• Daftar kode standar,
konstanta, dan tabel yang digunakan oleh sistem
Menentukan Efektivitas
Pemrosesan dalam Program Komputer Staf audit harus mengidentifikasi area
masalah dalam siklus pemrosesan termasuk tetapi tidak terbatas pada:
• Pemrosesan data yang
berlebihan atau bentuk duplikasi lainnya
• Kemacetan yang menunda pemrosesan
• Poin dalam siklus
operasi di mana pegawai tidak memiliki cukup waktu untuk meninjau laporan hasil
dan membuat koreksi
Mengevaluasi Kegunaan
Laporan Staf audit harus meninjau output utama atau utama (seperti daftar edit,
daftar kesalahan, kontrol daftar jam, dll.) Dari sistem aplikasi dan menentukan
apakah outputnya adalah:
• Akurat
• Berguna
Auditor
dipercayakan dengan layanan publik yang unik. Profesi ini semakin dipanggil
untuk melakukan layanan diperluas untuk klien dan masyarakat luas. Untuk
mempertahankan citra publik setinggi ini, layanan auditor harus dilakukan pada
tingkat tertinggi kompetensi teknis dan integritas. Komputer dapat membantu
dalam banyak hal, tetapi auditor juga dihadapkan dengan masalah tertentu ketika
mereka harus mengaudit kompleksitas.
Sifat
audit tidak diragukan lagi akan terus mengalami perubahan besar ketika tingkat
teknologi meningkat. Proliferasi dalam jumlah komputer dan workstation (desktop
ke handheld) juga diharapkan dalam milenium mendatang. Auditor hari ini harus
dapat mengidentifikasi kontrol audit penting yang tersedia dengan komputer dan
menentukan dampak dari kontrol tersebut terhadap struktur keseluruhan
perusahaan. Auditor harus memahami desain sistem komputer klien untuk melakukan
audit yang efisien.
Singkatnya,
perlu untuk mengintegrasikan komputer ke dalam proses audit dari inisiasi
proyek ke tahap pelaporan akhir. Otomatisasi penuh akan memungkinkan auditor
untuk menggunakan semua sumber daya yang tersedia secara lebih efisien dan
meningkatkan kredibilitas audit yang dilakukan. Penggunaan teknologi komputer
yang efektif dapat memberdayakan auditor untuk melakukan audit di lingkungan
yang sangat terotomatisasi saat ini.
